Arubaの一番の強みはRole Base アクセス制御を使ったセキュアネットワークです。今まではコントローラやIAPでのみの実装でしたが、今はArubaOS Switchでもサポートされています。
コントローラとは設定方法は異なる点と、ステートフルファイアウォールではありませんが、とてもシンプルに設定でき、且つ、ClearPassを使って、有線・無線LANに関係なく、セキュアなネットワークを構築できます。
簡単ですが、設定コマンドを少しご紹介します。
User Roleの設定
aaa authorization user-role name "SECURE"
policy "PERMIT-ALL"
vlan-name "EDGE_SECURE"
上記の様に、Roleを作成し、その中でPolicyという形でセキュリティポリシー(実際にはACLの束)を適用します。
Policyの設定
policy user "PERMIT-ALL"
class ipv4 "IP-ANY-ANY" action permit
Policyの設定を見ると、この中に直接ACLのSource IP、Destination IPが記載されているわけではなく、classという形で設定が階層構造になっています。この辺りはコントローラのSession Firewallと設定方法は似ています。
Classの設定
class ipv4 "IP-ANY-ANY"
match ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
Classの中で、実際のトラフィックにマッチさせるためのIP Addressを設定します。
実際に設定するときは、Class → Policy → User Roleの順で設定することになります。
ちなみに、Initial Roleを設定したい時はスイッチ単位で設定します。Default設定時はdenyallが適用されています。
DefaultのRole設定
Switch# show user-role
User Roles
Enabled : No
Initial Role : denyall
Type Name
---------- ------------------------------------------------------
predefined denyall
Switch# show user-role denyall
User Role Information
Name : denyall
Type : predefined
Reauthentication Period (seconds) : 0
Untagged VLAN :
Tagged VLAN :
Captive Portal Profile :
Policy : denyall_104112101032097114117098097032098105108108
Tunnelednode Server Redirect : Disabled
Secondary Role Name :
Initial Roleの設定
aaa authorization user-role initial-role "logon"
セキュリティに強いArubaを有線・無線で是非フル活用して下さい。